联合国披露,内部网络在今年4月遭到入侵;
据报告该事件的安全公司Resecurity称,攻击者可能使用了暗网泄露的联合国员工账户,并窃取了大量内部数据(联合国未予置评);
攻击者的身份和动机均未知,泄露账号在暗网仅售1000美元,未开启二次验证。
今年早些时候,黑客成功入侵联合国的计算机网络,并窃取到大量可用于攻击联合国组织的机构内部数据。
黑客获取联合国网络访问权的方法似乎非常简单:他们很可能使用了从暗网上购买到的联合国员工的失窃用户名与密码。
联合国秘书长发言人斯特凡·杜加里克昨天(9月9日)在一份声明中表示:“我们可以确认,不明身份的攻击者能够在2021年4月入侵联合国的部分基础设施。” “联合国经常成为网络攻击的目标,包括持续的入侵行动。我们还可以确认,已经发现并正在响应与之前的违规行为有关的进一步攻击。”
联合国和它的关联机构之前也曾沦为黑客攻击的目标。2018年,荷兰与英国执法部门联手挫败了俄罗斯对禁止化学武器组织实施的网络攻击,当时该组织正在调查俄罗斯在英国本土使用致使神经毒剂。据福布斯报道,2019年8月,在一次针对微软SharePoint平台已知漏洞的网络攻击中,联合国“核心基础设施”遭到破坏,在外部机构曝光前这次事件一直没有公开披露。
泄露账号未开启二次验证,联合国内部数据或泄露
泄露凭证属于联合国专有项目管理软件Umoja上的某个账户。据发现此次事件的网络安全公司Resecurity表示,黑客能够借此深入访问联合国网络。目前了解到,黑客掌握联合国系统访问权的最早日期为4月5日,截至8月7日他们在联合国网络上仍然保持活跃。
Resecurity公司在今年早些时候向联合国通报了此次最新违规事件,并与联合国内部安全团队合作确定了攻击的范围。联合国的杜加里克表示,内部已经发现了这次袭击。
Resecurity公司称,联合国官员告知Resecurity公司,这次黑客攻击属于侦察行为,黑客只是在内部网络上截取了屏幕截图。而当Resecurity公司提交了失窃数据证据之后,联合国停止了与该公司联系。
黑客使用的Umoja账户并未启用双因素身份验证,这是一项基础安全功能。根据今年7月Umoja网站上的公告,该系统已经迁移至微软Azure,这套云平台直接提供多因素身份验证机制。Umoja的迁移公告称,此举“降低了网络安全风险”。
Resecurity公司表示,在最近这次入侵中,黑客试图找出关于联合国计算机网络架构设计的更多信息,并妥协了53个联合国账户。目前尚无法确定黑客究竟是谁,他们又为什么要入侵联合国网络。
攻击者的身份和动机均未知,泄露账户在暗网仅售1000美元
黑客组织的侦察活动可能是为了筹备后续攻击,也可以是打算把信息出售给试图入侵联合国的其他团伙。
Resecurity公司的首席执行官Gene Yoo称,“像联合国这样的组织是网络间谍活动中的高价值目标。攻击者入侵的目的是窃取联合国网络中的大量用户数据,以进一步进行长期的情报收集。”
Recorded Future公司高级威胁分析师Allan Liska表示,“从传统上讲,像联合国这样的组织一直是民族国家攻击者的主要目标。但随着网络犯罪分子逐渐找到更有效的被盗数据货币化方法,也随着初始访问者频繁出售自己掌握的入侵资源,如今的攻击活动正表现出愈发明确的针对性与渗透趋势。”Liska还提到,他自己曾亲眼在暗网上见到过在售的联合国雇员用户名和密码。
威胁情报公司Intel 471首席执行官Mark Arena表示,这些凭证来自多名讲俄语的网络犯罪分子,售价则仅为区区1000美元。
Arena总结道,“自2021年初以来,我们已经发现多名出于经济动机的网络犯罪分子在出售联合国Umoja系统的访问权限。这些参与者会同时出售来自多个犯罪团伙的泄露凭证。结合之前的经验,这些被盗的凭证会被出售给其他网络犯罪分子,再由他们用于实施后续入侵活动。”
彭博社查看了相应的暗网广告,发现其中至少有三个市场,最晚到7月5日还仍在出售这些联合国账户凭证。